Manualmaton's Laboratory

RHEL系LinuxにZabbixサーバをインストール

By

オン 2026年4月20日

カテゴリー: Linux

RHEL系Linux(Rocky Linux 9)にZabbixサーバを構築したときのメモです。

環境

  • Zabbix 7.0
  • PHP-FPM 8.3
  • MySQL 8.0
  • Apache 2.4

前提

  • Linuxの初期設定完了済み
  • 以下のミドルウェアをインストール済み。
  • Apache 2.4
  • MySQL 8.0 (mysql_secure_installation込み)
  • PHP-FPM 8.3

さっくりとした手順

  1. php.iniを修正します。
  2. Zabbixパッケージをインストールします。
  3. DBを作成しスキーマをインポートします。
  4. ZabbixのDBを設定します。
  5. Apacheのバーチャルホストを設定します。
  6. Zabbixサービスを有効化してFirewalldを設定します。
  7. 初期インストールを行います。

PHP 設定の最適化 (php.ini)

Zabbix Web UI の動作要件に合わせて PHP のパラメータを修正します。おそらく多くの方がWebインストールした後に怒られる設定です。

  • php.iniのバックアップ
sudo cp -pi /etc/php.ini /path/to/backup/directory/php.ini.$(date +%Y%m%d)

任意のバックアップディレクトリを指定します。

  • php.iniのバックアップ確認
diff -u /path/to/backup/directory/php.ini.$(date +%Y%m%d) /etc/php.ini

差分がなければバックアップ成功です。

  • php.ini 修正箇所:
  • post_max_size = 16M (8M から変更)
  • max_execution_time = 300 (30 から変更)
  • max_input_time = 300 (60 から変更)

上記は例です。環境に合わせましょう。

  • php.iniの編集確認
diff -u /path/to/backup/directory/php.ini.$(date +%Y%m%d) /etc/php.ini

+の箇所に修正した値になっていることを確認します。

  • php-fpmサービス再起動(設定反映)
sudo systemctl restart php-fpm

Zabbix パッケージのインストール

  • レポジトリ追加

2026年4月の最新パッケージである7.0.xを使うため、レポジトリを追加します。

  • Zabbixリポジトリのインストール
sudo rpm -Uvh https://repo.zabbix.com/zabbix/7.0/rocky/9/x86_64/zabbix-release-latest.el9.noarch.rpm
  • キャッシュのクリア
sudo dnf clean all
  • EPEL リポジトリとの競合を避けるため、リポジトリを指定してインストールします。

この指定が地味に詰まりました。

sudo dnf install -y --disablerepo=epel \
zabbix-server-mysql \
zabbix-web-mysql \
zabbix-apache-conf \
zabbix-sql-scripts \
zabbix-selinux-policy \
zabbix-agent2

データベースの作成と初期データの流し込み

MySQL (MariaDB) に Zabbix 用の DB とユーザーを作成し、初期スキーマをインポートします。

  • mysqlログイン
mysql -u root -p
  • DB作成
CREATE DATABASE zabbix CHARACTER SET utf8mb4 COLLATE utf8mb4_bin;
CREATE USER 'zabbix'@'localhost' IDENTIFIED BY 'あなたのパスワード';
GRANT ALL PRIVILEGES ON zabbix.* TO 'zabbix'@'localhost';
SET GLOBAL log_bin_trust_function_creators = 1;
EXIT

SET GLOBAL log_bin_trust_function_creators = 1;を指定しないと、zabbixに必要なスキーマを拒否することがあります。

  • スキーマインポート
zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql --default-character-set=utf8mb4 -uzabbix -p zabbix
  • 設定を元に戻す
mysql -u root -p -e "SET GLOBAL log_bin_trust_function_creators = 0;"

インポート後にこれを行っておかないと、MySQLがインジェクションとなり得るスキーマを許可することがあります。

Zabbix Server の DB 設定

サーバー本体が DB に接続するためのパスワードを設定します。

/etc/zabbix/zabbix_server.conf を以下のように修正します。

修正箇所:

  • DBPassword=あなたのパスワード (コメントアウト # を外して追記)

Apache (httpd) バーチャルホストの設定

上記、dnfで設定した標準設定を無効化し、/etc/httpd/virtual/ 配下で管理するように変更します。

これは、「一つのサーバにWebサーバとZabbixを同時に立てる必要がある」などで重要なテクニックです。

  • ディレクトリ準備
sudo mkdir -p /etc/httpd/virtual
  • 標準設定の退避
sudo mv /etc/httpd/conf.d/zabbix.conf /path/to/backup/direcotry/zabbix.conf.$(date +%Y%m%d)
  • バーチャルホスト設定の作成

/etc/httpd/virtual/zabbix.conf

等として、以下のようなファイルを作ります。

<VirtualHost *:80>
    # 自分の環境に合わせます
    ServerName zabbix.example.com
    DocumentRoot /usr/share/zabbix

    <Directory "/usr/share/zabbix">
        Options FollowSymLinks
        AllowOverride None
        Require all granted
    </Directory>
    # FPM設定
    <FilesMatch \.php$>
        SetHandler "proxy:unix:/run/php-fpm/www.sock|fcgi://localhost"
    </FilesMatch>
    # 任意のログディレクトリを指定します
    ErrorLog /var/log/httpd/zabbix_error.log
    CustomLog /var/log/httpd/zabbix_access.log combined
</VirtualHost>

サービスの起動と Firewalld の設定

全てのコンポーネントを起動し、必要なポートを開放します。これも地味にはまるポイントです。

  • サービスの有効化と起動
sudo systemctl enable --now zabbix-server zabbix-agent2 httpd php-fpm
  • Firewalld の許可
sudo firewall-cmd --permanent --add-service={zabbix-server,zabbix-agent,http}
  • Firewalldのリロード
sudo firewall-cmd --reload

Web セットアップとログイン

  1. ブラウザで http://(ServerName)/ にアクセス。
  2. 全てのチェック項目が OK であることを確認し、DB情報を入力して完了。
  3. 初期ログイン情報:
  • User: Admin (Aは大文字)
  • Password: zabbix

Apacheのインストールと初期設定(RHEL系)

By

オン 2026年4月19日

カテゴリー: Linux

概要

RHEL系(AlmaLinux / Rocky Linux 9等)にWebサーバーApacheをインストールします。最近のトレンドはNginxではあるものの、以下のメリットを考慮してApacheを選択します。

  1. 豊富なモジュールとカスタマイズ: 歴史が長く、情報の蓄積が膨大。
  2. 動的コンテンツの設定のしやすさ: PHP等との親和性が高い。
  3. 運用の手軽さ: 小規模サイトを迅速に立ち上げるのに適している。
  4. 高度なセキュリティ・ログ設定:
    • 自宅等からのアクセスログを除外するなどのログカスタマイズ。
    • 悪質なクローラーの排除。
    • mod_security(WAF)による防御。

さっくりとした手順

  1. firewalldの設定: 外部からのアクセス許可を与えます。
  2. Apacheのインストール: dnfを使用してインストールします。
  3. Apacheの設定: セキュリティとサーバー名の設定を行います。
  4. 設定の反映確認: 正常に動作しているかチェックします。

1. firewalldの設定

サーバー移設などでハマりやすいのが「設定は正しいのにページが表示されない」現象です。RHEL系ではデフォルトで強力なファイアウォール(firewalld)が動作しており、ポート80/443を明示的に開放する必要があります。

大前提

SSH接続(ポート22)は許可されている前提で進めます。設定を誤るとリモート操作ができなくなるため、慎重に行いましょう。

  • HTTP通信を許可する
sudo firewall-cmd --permanent --add-service=http
  • HTTPS通信を許可する
sudo firewall-cmd --permanent --add-service=https
  • 設定を反映させる
sudo firewall-cmd --reload
  • 設定を確認する
sudo firewall-cmd --list-all

services の欄に httphttps が含まれていればOKです。

2. インストールを行います

RHEL系ではApacheのパッケージ名は httpd です。

  • パッケージ全体のアップデート
sudo dnf update -y
  • Apache (httpd) のインストール
sudo dnf install httpd -y
  • バージョン確認
httpd -v

-(表示例)-
Server version: Apache/2.4.57 (AlmaLinux)

  • サービスの起動と自動起動設定
sudo systemctl enable --now httpd
  • サービス稼働確認
systemctl status httpd

enabledactive (running) を確認します。

3. 設定を行います

  • 設定ファイルのバックアップ

RHEL系の設定ファイルは /etc/httpd/conf/httpd.conf です。

sudo cp -pi /etc/httpd/conf/httpd.conf /etc/httpd/conf/httpd.conf.$(date +%Y%m%d)

※任意のバックアップディレクトリを指定してください。

  • 設定ファイルのバックアップ確認
diff -u /etc/httpd/conf/httpd.conf.$(date +%Y%m%d) /etc/httpd/conf/httpd.conf

エラーがないことを確認します。

  • 設定ファイルの書き換え(追記)

セキュリティ向上のため、署名の非表示化とサーバー名を追記します。

sudo bash -c "cat >> /etc/httpd/conf/httpd.conf" << 'EOF'

# Custom Settings
ServerSignature Off
ServerTokens Prod
ServerName example.com:80
EOF

example.com の部分は、ご自身のドメイン名またはホスト名に置き換えてください。

  • 差分の確認
diff -u /etc/httpd/conf/httpd.conf.$(date +%Y%m%d) /etc/httpd/conf/httpd.conf

末尾に指定した3行が追加されていることを確認します。

4. 設定反映を確認します

  • 構文確認
sudo httpd -t

Syntax OK と表示されることを確認します。

  • サービス再起動
sudo systemctl restart httpd
  • 設定の反映確認(ヘッダー確認)
curl -I http://localhost

以下のように、Server ヘッダーが Apache のみ(バージョン情報なし)になっていれば成功です。

HTTP/1.1 200 OK
Date: ...
Server: Apache
...

手なり作業の恐怖。(DNSの特異性)

By

オン 2026年4月18日

カテゴリー: Linux

ちょっとしたミスで地獄行きになるところだったので、自戒を込めてメモを記します。

何をやらかそうになったか?

「DNSの設定変更中、Aレコードとシリアル番号を間違えて登録するところだった」

なお、LinuxのDNS、BINDを用いての作業です。

なぜこれが危険なのか?

DNSレコードの設定は、インターネット上の住所録を書き換えるような作業です。一歩間違えると、メールが届かない、ウェブサイトが見られない、あるいは悪意のある第三者に通信を乗っ取られるといった甚大な被害に直結します。
というか、やらかしかけました。

なぜこれほどまでに慎重さが求められるか? 改めて、「自分に言い聞かせるレベルで」メモをします。

DNS設定ミスが引き起こす主なリスク

DNSは「一度間違えると修正が反映されるまで時間がかかる」という特性があるため、ミスが致命傷になりがちです。

サービス全停止(可用性の喪失)

AレコードCNAMEの記述ミスにより、全世界からサイトやAPIへの接続が断たれます。

メールの不達・消失(機会損失・信用リスク・レピュテーションリスク)

MXレコードの設定ミスは、ビジネス連絡の遮断を意味します。また、SPF/DKIM/DMARCなどの送信ドメイン認証に不備があると、正当なメールが「迷惑メール」として破棄されます。

サブドメイン乗っ取り(Subdomain Takeover)

これがある意味の恐怖です。不要になった外部サービス(SaaS等)へのCNAMEを残し続けると、そのドメインを第三者に取得され、せっかくのブランド名で偽サイトを運営されるリスクがあります。

キャッシュによる影響の長期化

後述するTTLの設定により、間違った設定が世界中のキャッシュサーバーに残り続け、即座に修正しても数時間は復旧しないことがあります。

BINDにおける「シリアル番号」とテキスト管理の罠

BIND(Berkeley Internet Name Domain)のようなテキストベースの管理では、私のようなエンジニアの「うっかり」が原因で同期不全が起きることがよくあります。

シリアル番号(Serial Number)の更新忘れ

BINDのゾーンファイルには、SOA (Start of Authority) レコード内にシリアル番号が存在します。

  • 仕組み:
    • セカンダリサーバーは、プライマリサーバーのシリアル番号が「現在より大きい数字」になった時だけ、新しい設定を同期(ゾーン転送)します。
  • リスク:
    • レコードの内容を書き換えても、シリアル番号を増やし忘れると、セカンダリサーバーには古い設定が残り続けます。 これにより、場所によって新旧の設定が混在する不安定な状態になります。

構文ミスとドット(.)の有無

BINDでは、FQDN(完全修飾ドメイン名)の末尾にドットを付け忘れると、オリジンのドメイン名が自動的に付加されてしまいます。

  • 例:
    -example.com と書くべきところを example.com.(末尾ドットあり)としなかった場合、example.com.example.com. という意図しないレコードとして解釈されます。

ミスを防ぐための4つの鉄則

これに関してはAIと壁打ちしながら設定しました。

1. TTL(Time To Live)を事前に短縮する

作業の数日前から、対象レコードのTTLを短く(例:300秒など)設定しておきます。

  • 理由:
    • 万が一ミスをしても、キャッシュが早く切れるため、被害を最小限に抑えられます。作業完了後に元の値に戻すのを忘れないようにしましょう。

2. BINDの構文チェックコマンドを活用

ファイルを保存した後、サービスを再起動(reload)する前に必ずチェックコマンドを叩く習慣をつけます。

named-checkzone [ドメイン名] [ゾーンファイル名]

`

ゾーンファイルの整合性確認(シリアル番号の形式ミスなども検知できます)

3. シリアル番号の運用ルール化

シリアル番号は YYYYMMDDNN(日付+その日の更新回数)の形式で運用するのが一般的です。

例: 2026年4月16日の1回目の修正 → 2026041601

この、第三者が見ても分かる増分をやりましょう。極端な話

  1. Friends
  2. Romans
  3. Countrymen

のような「ローマ的増分」は分かっているのが自分であっても混乱の元です。

4. 変更後の浸透確認(digコマンド等)

設定を反映したら、自分のPCのブラウザで確認するだけでなく、外部から正しく引けるかを確認します。

  • Google Public DNSで確認
dig @8.8.8.8 example.com A
  • 同期設定をしたセカンダリDNSで確認
dig @[セカンダリDNSのIP] example.com A

まとめ

DNS設定は、「間違えた瞬間に世界中にそのミスが拡散し、しかもすぐには消せない」という怖さがあります。

特にBINDなどの手動管理では、「シリアル番号のカウントアップ」と「末尾のドット」を指差し確認するだけでも、トラブルの多くを回避できます。作業前のTTL短縮と、作業後の多角的な検証をセットで行うようにしましょう。

「かんばん」を掲げる意味

拙稿にて、ドメインを掲げる意味として

  • Web上の住所
  • ブランドの顔
  • 信頼の証

の3つを挙げています。また、池波正太郎の

「人間、落ちるところへ落ちてしまっても、なにかこう、この胸の中に、たよるものがほしいのだねえ」
「たよるもの、ねえ…」
「いえば看板みたいなものさ」
「かんばん、かね…?」
「人間、だれしも看板をかけていまさあね。旦那のお店にもかけてござんしょう」
――『にっぽん怪盗伝』

にも感銘を受けています。「ちょっとしたミスによって看板に泥を塗る」事態が起きかけたという話でした。

Cockpitを用いたVMインストールメモ。

By

オン 2026年4月17日

カテゴリー: 未分類

機会があったのでメモです。

前提

  • LinuxサーバにKVMがインストールされていること。
  • ISOイメージをサーバ内に格納していること。
  • Cockpit(Webブラウザ経由でLinux各種操作が行えるサービス)がインストールされていること。

1. ホスト側での事前準備(ターミナル操作)

仮想マシン用の論理ボリューム(LV)を作成します。

  • ボリュームグループ(VM)内に500GBのLV(ホスト名)を作成
sudo lvcreate -L 500G -n vm_host VMdisk

2. Cockpit ストレージプールの作成

予め作成されていたcockpitにブラウザからログインします。

  1. 「仮想マシン」 > 「ストレージプール」 を開く。
  2. 「ストレージプールの作成」 をクリック。
    • 名前: VM
    • タイプ: LVM ボリュームグループ
    • ターゲットパス: VM (※/dev/を含まないVG名のみを入力)
  3. 「作成」 をクリック。

3. 仮想マシンの作成と詳細設定

  1. 「仮想マシン」 > 「VMの作成」 をクリック。
  2. 基本情報: 名前、インストールタイプ、メモリ(8GB)を入力し、一旦作成する。
  3. CPUの編集:
    • vCPU最大値: 4 / vCPU数: 4
    • ソケット: 2 / ソケットごとのコア: 2 / コアあたりのスレッド: 1
  4. ディスク(LVM)の割り当て:
    • 既存のディスクがあれば編集、または追加。
    • ソース: 既存のストレージ
    • パス: /dev/VMdisk/vm_host を選択。
  5. インストールメディア(ISO)の追加:
    • 「ディスクの追加」 でホスト上のISOファイルを選択。
  6. ブート順序の変更:
    • cdrom を追加し、最上位(1番目)にドラッグして移動。
  7. ネットワークの設定:
    • インターフェース: Bridge to LAN を選択。

4. インストールの実行

  1. 「インストール開始」 をクリック。
  2. 「コンソール」 タブを開き、OSのセットアップを進める。

Linux Webサーバの基本的な設定ミス(カモ)を狙ったログの傾向。

By

オン 2026年4月16日

カテゴリー: Linux, PC

筆者のvpsに訪れる攻撃者。基本や最新のトレンドまで多くのパターンがあります。

そんな中、1分の間に大量の情報略取を試みる攻撃者のログがありました。

これらを紹介します。

ログ抜粋

例によって、テロリストに名前を与えないという哲学の元、アクセス者のグローバルIPは晒しません。

[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.10] ModSecurity: Access denied with code 404 (phase 1). [msg "[CUSTOM RULE] Host header is a numeric IP address. Blocked immediately."] [hostname "vps.example.jp"] [uri "/"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/.env"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/sendgrid.env"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/web/.env"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/static//etc/passwd"]
[Tue Apr 14 --:--:-- 2026] [security2:error] [client 192.0.2.20] ModSecurity: Access denied with code 404 (phase 1). [hostname "vps.example.jp"] [uri "/static//home/user/.aws/credentials"]

主な略取対象

どのようなファイルを見ようとしているのか?

言語・フレームワークの特定(Configuration Exploration)

  • 対象:
    • /settings.py (Django),
    • /config.js (Node.js),
  • 攻撃者の意図:
    • サーバの下調べです。フレームワークを特定することでどの脆弱性があるかを調べようとしています。

秘匿情報の取得(Environment Files)

  • 対象:
    • /.env
    • /sendgrid.env
    • /.env.local
    • /application.yml
    • /database.yml (Rails)
  • 攻撃者の意図:
    • 攻撃者がまず狙う情報です。ここにはデータベースの接続パスワード、SendGrid(メール配信サービス)のAPIキー、アプリケーションのシークレットキーがむき出し/平文で置かれていることが多いです。
  • 危険性:
    • ここが突破されれば、サーバのデータベースは私物化され、メール送信機能はスパムメール配信の踏み台にされます。

システムの脆弱性(Path Traversal & LFI)

  • 対象:
    • /static//etc/passwd
    • /static//etc/shadow
    • /static//proc/self/environ
  • 攻撃者の意図:
    • 静的ファイルのディレクトリから、強引にOSの中枢ファイルへ手を伸ばそうとしています。特に shadow ファイルなどは、ログイン情報の心臓部です。
  • 危険性:
    • /etc/passwd が奪われれば、サーバー内のユーザー一覧が露呈し、次の攻撃の正確な座標を与えてしまうでしょう。
    • /etc/shadow も暗号化されているとは言え、ローカル環境でハッシュ値を割り出されてしまいます。
    • 特に /proc/self/environ が読めると、実行中のプロセスの環境変数が丸見えになり、壊滅的な被害に繋がります。
  • 補足:
    • /staticこれは、特定のWAF(Webアプリケーションファイアウォール)や、リバースプロキシの設定(Nginxのエイリアス設定の不備など)をバイパスしようとする試みです。正規化の過程で // が / に変換される挙動を悪用し、本来アクセスできないディレクトリの外側へ飛び出そうとしています。

クラウドの鍵の窃取(Cloud Credentials)

  • 対象:
    • /static//home/user/.aws/credentials
  • 攻撃者の意図:
    • AWS(Amazon Web Services)のアクセスキー。サーバ内にこれを置きっぱなしにしている管理が甘い人たちを狙っています。
  • 危険性:
    • ある意味で最も危険と言えるでしょう。これを奪われれば、aws資産は攻撃者のビットコイン採掘場に変貌し、管理者の元には天文学的な請求書という地獄が待っています。

ここから分かること

彼らは「置き忘れ」や「甘い設定」を狙っています。

  • 初期値だから
  • 便利だからとstaticを使う
  • 管理が楽だから

などは組織の運用であって、攻撃者はそういうところが絶好のカモにしています。これは、私にも跳ね返る言葉ですが:

「ポーカーを始めて30分が過ぎても誰がカモか分からなければ、あなたがカモだ」

のウォーレン・バフェットの言葉はサーバ管理でも通用するというお話しでした。

LAMPサーバの一覧を表示するワンライナー。

By

オン 2026年4月15日

カテゴリー: Linux

UbuntuのLAMPサーバの環境確認に使える一式のワンライナーの紹介です。

 echo -e "| Item | Version / Status |\n|:---|:---|\n| **OS** | $(lsb_release -d | cut -f2) |\n| **Memory** | $(free -h | awk '/^Mem:/ {print $2" (Used: "$3")"}') |\n| **Web Server** | $({ apache2 -v 2>/dev/null || nginx -v 2>&1; } | head -n 1 | sed 's/^[ \t]*//') |\n| **PHP** | $(php -v 2>/dev/null | head -n 1 | cut -d' ' -f1,2 || echo "Not Installed") |\n| **PHP-FPM** | $(systemctl list-units --type=service | grep -o 'php[0-9.]*-fpm' | tr '\n' ' ' | xargs || echo "Not Running") |\n| **DB** | $(mysql -V 2>/dev/null | grep -oE '[0-9]+\.[0-9]+\.[0-9]+' | head -n1 | sed 's/^/MySQL /' || psql --version 2>/dev/null || echo "Not Installed") |\n| **Node.js** | $(node -v 2>/dev/null || echo "Not Installed") |\n| **Python** | $(python3 -V 2>/dev/null || echo "Not Installed") |\n| **Ruby** | $(ruby -v 2>/dev/null | cut -d' ' -f1,2 || echo "Not Installed") |"

全体の構造

このコマンドは echo -e を使用して、1つの大きな文字列を出力しています。

  • | Item | ... |:Markdownの表ヘッダーを作成しています。
  • $( ... )コマンド置換と呼ばれる仕組みです。カッコ内のコマンドを先に実行し、その結果を文字列の中に埋め込みます。

各項目の詳細解説

項目実行している処理の内容
OSlsb_release -d でOSの説明行を取得し、cut -f2 でタブ以降のOS名(Ubuntu…など)だけを抜き出しています。
Memoryfree -h でメモリ情報を取得。awk を使って「全容量($2)」と「使用量($3)」を抽出して整形しています。
Web Server{ apache2 -v || nginx -v } で両方を試し、見つかった方の1行目を表示。sed で行頭の余計な空白を消しています。
PHPphp -v の1行目から、cut を使って「PHP 8.x」のような名称とバージョンのみを取得しています。
PHP-FPMsystemctl で起動中のサービス一覧から php*-fpm に一致するものを探し、trxargs で横一列に並べています。
DBまず mysql -V を試し、バージョン番号を正規表現で抽出。それがなければ psql(PostgreSQL)を確認します。
Node / Pythonそれぞれ -v または -V オプションでバージョンを確認。インストールされていなければ "Not Installed" を返します。
Rubyruby -v の結果から、最初の2単語(例:ruby 3.x)だけを抜き出しています。

出力イメージ

実行すると、以下のような表がターミナル(またはMarkdown対応のエディタ)に表示されます。

ItemVersion / Status
OSUbuntu 24.04.4 LTS
Memory5.8Gi (Used: 3.8Gi)
Web ServerServer version: Apache/2.4.58 (Ubuntu)
PHPPHP 8.3.30
PHP-FPMphp8.3-fpm
DBMySQL 8.0.45
Node.jsv20.19.2
PythonPython 3.12.3
Rubyruby 3.2.3

サーバー構築直後の確認や、GitHubのIssueに環境情報を貼る際にとても重宝するものです。

思考実験と実践『大鎌戦役』一手番で6つの星章が取れるケース。

By

オン 2026年4月14日

カテゴリー: ソロプレイ, ボードゲーム

ボードゲーム『大鎌戦役』は星章を6つ獲得するとその瞬間にゲームが終わるという話をしました。そこから逆算し

「どうすれば一手番でゲーム終了まで持って行けるのか?」を落とし込んできました。

大前提:これが起こるのはほぼ稀です

後述する前準備が面倒。これをやるなら素直に既に星章が取れているからです。

前提

勢力「ザクセン帝国」を選んでいること。

これは必須です。というのも、「戦闘による星章の上限が撤廃されている勢力」だからです。

なおかつ移動時に徴用によるパラメータアクションがあること。

具体的には

移動後に

  • 改善
  • 建築

があり、それによりパラメータが上がる余地があることです。これがメック展開だったら徴用で増えるのはコイン、徴用だったら戦闘カードであり星章を取ることができません。

なので、それを満たすマットは

  • 愛国主義
  • 農業主義

→ 移動後に「改善」がある。

または

  • 工業(産業)主義
  • 機会主義

→ 移動後に「建築」がある。

移動と同時に達成できる目的があること。

各プレイヤーにある秘密の目的。これは比較的達成が優位な

「特定の地形を3つ支配している」があります。

盤面用意

そこで、実際の盤面を用意しました。

  • ザクセン帝国
  • 工業(産業)主義

で、以下の状態です。

状況

  • 支持(民心)が17。後1上がれば18でトリガーとなるという条件です。
  • 徴用の誘発が建築による支持(民心)アップとなっていること。
  • 改良により一手番で行動可能なユニットが3つになっていること。
  • 戦闘可能なユニットが「特定の地形」に面していること。
    • ここではノルディック王国の戦闘ユニットがトンネルに位置し、秘密の目的「地底の優越(トンネルである地形を3つ以上支配している)」があります。
  • また、建築物が3つ建てられていて、4つめを立てるだけの資源もあります。

逆に、それ以外の星章のきっかけである

  • メック4機展開
  • 徴用4種達成
  • 改良6種達成
  • 戦力16達成

等はない状況です。

実施

では、アクションをしてみましょう。ザクセンの手番が始まります。

星章1つめ:戦闘による星章-1-

移動を選択。

ユニット1つを選びます。トンネルにいるノルディックのキャラクターを戦闘で撤退させます。

星章2つめ:戦闘による星章-2-

移動権2つめです。同様にトンネルにいるノルディックのメックを撤退させます。

星章3つめ:戦闘による星章-3-

移動権3つめです。メックにワーカーを搭載し、同様にトンネルにいるノルディックのメックを撤退させます。

星章4つめ:建築による星章

上段の移動アクション全て解決。下段の建築を選び、資源を支払って4つめの建物を建てます。

星章5つめ:支持(民心)上昇

建築をしたので徴用のトリガーが入ります。支持(民心)が17→18に上がります。

星章6つめ:目的達成

秘密の目的「地底の誘発」の条件が一致。これを公開して手番が完了。

ゲーム終了のトリガー達成

  • 戦闘3つ
  • 建築
  • 支持(民心)
  • 秘密の目的

で一気に埋まりました。

再掲:ほぼ実現不可能な前提

そもそも、戦闘三連はどこかしらで相手勢力は反撃に転じるはずです。また、ザクセンはトンネルでの戦闘を得意とするため、そこに居座るというのもなかなか難しい状況。

それ以前に、支持(民心)は一番挙げるのが難しい箇所。

あくまでも「技術的には可能(Technically Possible)」だが「実用的ではない(Not Practical for everyone)」

話でした。

『ナショナルエコノミー』完全版感想。

By

オン 2026年4月13日

カテゴリー: ソロプレイ, ボドゲサプライ, ボドゲ収納, ボードゲーム

筆者がボードゲームの世界に深く傾倒するきっかけとなった『ナショナルエコノミー』。その三部作

  • 『Progress』
  • 『Mecenat』
  • 『Glory』

を一つにまとめた完全版です。

ゲーム概要

本作のジャンルは「ワーカープレースメント」です。プレイヤーは19世紀から20世紀の経営者となり、労働者の雇用、業務の割り当て、賃金の支払いを通じて、企業と社会の発展を目指します。

本作の魅力

単純でシンプルなコンポーネント

リソースが「手札・お金・ワーカー」の3点のみというシンプルさです。

一般的なボードゲームにありがちな「特定の建物を建てるために特殊な素材が必要」といった細かな縛りがないため、見通しが非常にクリアです。

実にシビアな賃金支払い

一方で、賃金支払いのルールは極めてシビアに設計されています。ラウンドが進むごとに上昇する賃金が支払えない場合、不足1金につきマイナス3点という強烈なペナルティが課されます。この容赦ないインフレに直面すると、「経営者が労働者を安く使いたくなる理由」を身をもって体感することになり、思わず独白したくなるような没入感があります。

マクロ経済学の教科書的な家計管理

また、「家計」という概念の存在も秀逸です。手元の資金を回すには市場から現金を回収する必要があり、そのためには自分が建てた建物を売却しなければなりません。「誰かの支出は誰かの所得である」というマクロ経済の仕組みを、ゲームシステムとして見事に体現しています。

ある程度の運要素

これは特筆すべきものです。カードの引き運のために、出遅れたプレイヤーが挽回するチャンスが出てきます。完全実力主義やドラフトのテクニックなどが少ないのも魅力です。

リメイク版の改善点

豪華なコンポーネント

今回のリメイクで最も素晴らしいのは、コンポーネントの豪華さです。オリジナル版ではカードのみだったお金やワーカーが、チップや視認性の高い木駒へと変更されました。特に資金チップの箱をそのまま家計の管理に利用できる点は、プレイスペースの節約にも繋がり、非常に実用的です。

また、三部作がすべて同梱されているため、基本の「プログレス」から段階を踏んで発展系へと進める構成も、プレイヤーへの配慮が感じられます。

気になる点

改善された点がある一方で、いくつか気になった部分もあります。

フレーバーテキストのオミット

一つは、オリジナル版にあった毒のあるフレーバーテキストが省かれたことです。世界観を彩るスパイスが減り、背景が少し希薄になった印象を受けます。

ソロプレイの厳しさ

二つ目は、ソロプレイの難易度が緩和されていない点です。初期手札に恵まれないと身動きが取れなくなることがあり、特に『Glory』は資金繰りに役立つ建物が少ないため、運の要素を「現実の経営もままならないもの」と割り切る必要があります。

「完全にコンパクト」ではないこと

最後に、コンポーネントの豪華さと引き換えに、オリジナル版の利点であった「鞄の隙間に入るコンパクトさ」は失われました。

とはいえ、海外産の一般的なワーカープレースメント作品に比べれば、依然として持ち運びやすいサイズに収まっています。

まとめ

  • 国産ワーカープレースメントの金字塔
  • 「厳しめのワカプレ」の入門作

として、本作は極めて完成度の高いパッケージです。マクロ経済学をシビアに体験できる核となる部分はそのままに、洗練されたイラストと豪華な仕様、そして入手しやすい価格で提供されたことは圧巻の一言に尽きます。市場にあるうちに、ぜひ手に取っていただきたい一作です。

余談

私が初めて「ワーカープレースメント」というメカニズムに出会ったのが、この『ナショナルエコノミー』でした。

一人旅の温泉宿で何気なく遊び始めたのですが、「ワーカーを置くことでリソースが増え、さらにそのリソースで拡大再生産を行う」という面白さに魅了され、チェックアウト直前まで没頭してしまったことを覚えています。

その後、この仕組みに惹かれるまま、次に遊ぶべきステップを飛び越えていきなり『アルルの丘』を購入し、周囲の愛好家から「刻むだろっ! 普通もっと‥‥! 段階をっ‥!」と驚かれたのも、今では良い思い出です。

ボードゲーム『大鎌戦役』星章獲得と終了トリガーメモ。

By

オン 2026年4月12日

カテゴリー: ボードゲーム

大鎌戦役の『星章獲得』は

  • 一度でもその条件に達したとき

です。そして、ゲーム終了は

  • 誰かが6つの星章を獲得した場合

直ちに、他の処理を終了して計算が行われます。これは、意図的にパラメーターが上がったりアクションを完遂したときは問題ないのですが

  • 徴用によるボーナス
  • 一部勢力のパラメーター変化

で異なるケースがあります。ある種の「意図しないルーリング」を紐解いていきましょう。

ケース1:徴用によるボーナスでトリガーを引いた場合

徴用は、どれか一つの上位アクションにより、自分自身並びに両隣がボーナスを享受します。ここで問題になるのは

  • 改善(改良)による戦力上昇
  • 建築による支持(民心)上昇です。

自分自身の隣のプレイヤーが

  • 戦力15 で 徴用-改良を解放
  • 支持(民心)17 徴用-建築を解放

場合を想定します。それぞれ星章5つを獲得していて、上記の星章を得ていないという状況。

ここで自分が改良を行った/建築を行った場合、徴用のチェックが入った後ゲームは終了します。

ケース2:自分のアクションと徴用によるボーナスが重なった場合

ケース1と同じく

  • 戦力15 で 徴用-改良を解放
  • 支持(民心)17 徴用-建築を解放

場合を想定します。それぞれ星章5つを獲得していて、上記の星章を得ていないという状況に加えて

  • 自分が改良/建築による星章獲得をすれば星章6つを獲得する

というタイミング。この場合、徴用のチェックは行われません。なぜなら、アクションによる星章の段階で全ての処理が断ち切られ、ゲームのスコア計算が走るからです。

これは、特に、相手の徴用ボーナスで支持(民心)の足切りが変わる数値(6と12)は特に注意しましょう。

ケース3:戦闘によるパラメータ上昇がある場合

これは、メック能力により状況が異なってきます。

  • 戸川幕府のメック能力:浪人(戦闘ユニット単騎で戦闘したときに戦力が+2)
  • アルビオン氏族のメック能力:盾(防御時に戦力が+2)

を解放した場合を想定します。

このとき、戸川/アルビオンが星章を5つ獲得していて戦力による星章が獲得されていない状況。それぞれ戦力は14/15だった場合。

サブケースは以下の通りになります。

戦力をある程度消費した

この場合、戦力は引いた数からそれぞれのメック能力が足されるため、戦闘はそのまま発生します。

戦力15 → 戦力7支払う → メック能力により+2されても、戦闘終了時の戦力は16に満たない。

戦力を一切消費しなかった

この場合、戦闘中に「戦力が16に達する」時が発生します。

この場合、戦闘はそのまま解決。解決後、戦闘の如何に関わらず星章を獲得してゲームは終了します。

なので「戦闘に負けてもゲームが終わる」のです。

戦闘による星章がさらに加わる

上記の条件に「攻撃を仕掛けた/仕掛けられた側が戦闘による星章で6つめを獲得する」という場合、どちらが先に適用されるのか?

これは、「戦闘中のパラメータ変化」が優先されます。つまり、勝敗より先に数値の変化が起こるからです。

まとめ

これらの状況は割と起こりやすいだけに注意が必要。

  1. 戦闘中のパラーメータ変化
  2. アクション
  3. 徴用によるボーナス

の3つの優先順位が必要です。

Growi v7.5.0のアップデートメモ(nodeのアップデート含む)

By

オン 2026年4月11日

カテゴリー: Linux

Grwoiをv7.5.0にアップデートしたときのメモです。

アップデート概要

  • 対象バージョン: v7.4.7 → v7.5.0
  • 実行環境:
    • Ubuntu 24.04
    • Apache 2.4によるリバースプロキシー

主要な変更点:

  • Node アップデートによる Next.js v16 / Vite v6 / Turbopack への移行
  • リバースプロキシにy-websocket への変更、
  • RegExp.escape() の採用

前提

  • nvmでnodeのバージョンを管理していること。
  • リバースプロキシの変更手順が整っていること。

事前準備・環境更新

最新のGROWI要件に合わせ、Node.jsランタイムをアップデートしました。

-Node.jsの更新:

nvm を使用して v24.14.1 をインストール。 筆者はroot環境で実施しているため

sudo su -

で管理者権限になってから実施しました。

  • nvm バージョンアップ
nvm install 24

bash
nvm use 24

nvm alias default 24
  • ビルドツールの更新:

はまったポイントです。一度バージョンアップするとv24環境で pnpmが消えてしまうので再有効化します。

corepack enable
corepack prepare pnpm@latest --activate

ビルドプロセスの修正

後は基本的に筆者が行っているものに習います。

growiディレクトリに移動します

cd /home/www-data/growi && pwd

自分の環境に合わせます。(筆者環境/home/www-data/growi)

リリースタグを確認します。

  • リリースタグ取得
sudo git fetch --tags
  • リリースタグ確認
sudo git tag -l

スペースで確認していき、上記リリースサイトと同じバージョンがあることを確認します。

チェックアウトとインストールを行います。

  • 変更を一時的に退避
sudo git stash
  • チェックアウト
sudo git checkout 【バージョン】

リリースタグは再確認しましょう。今回は 2026/04/07にリリースされたv7.5.0を選択しました。

メモリ不足の対処

  • pnpm install 時のセキュリティ警告(sharpのビルド停止)およびメモリ不足対策を実施しました。
  • ネイティブバイナリの許可:
    ```bash
    pnpm approve-builds
リストから sharp を選択して許可

bash
pnpm install

- Turbopackによるビルド:

メモリ消費を抑えるため、上限を指定して実行。

bash
NODE_OPTIONS="--max-old-space-size=4096" pnpm run app:build

### リバースプロキシ (Apache) の修正


同時編集プロトコルが `y-websocket` に変更されたことに伴い、`growi.conf` の書き換えルールを厳密化しました。

修正内容: すべてのWS通信ではなく、`/yjs` パスのみをWSプロキシへ流すよう変更。

apache
# リバースプロキシー設定
RewriteEngine on

# 1. /yjs へのアクセスのみ WebSocket プロキシへ飛ばす
RewriteCond %{HTTP:Upgrade} websocket [NC]
RewriteCond %{REQUEST_URI} ^/yjs [NC]
RewriteRule /(.) ws://localhost:3000/$1 [P,L]

# 2. それ以外の通常の HTTP リクエスト
ProxyPass / http://localhost:3000/
ProxyPassReverse / http://localhost:3000/
```

起動スクリプトの修正

2度目のはまりポイントです。RegExp.escape is not a function エラー(Node.jsのバージョン不足)を解消するため、サービスが参照する PATH を更新しました。
(これは筆者環境なので)

growi-start.sh の修正:

# 旧: v20.19.2 -> 新: v24.14.1
export PATH="/root/.nvm/versions/node/v24.14.1/bin:$PATH"

Growiの再起動

  • Growiサービス開始
sudo systemctl restart growi.service
  • サービス開始確認
systemctl status growi.service

active(running)を確認します。

完了確認

  • [x] 管理画面「システム情報」にて GROWI 7.5.0 / Node.js 24.14.1 を確認。
  • [x] ページリストの取得エラー(APIエラー)が解消されたことを確認。
  • [x] ページ複製時の RegExp.escape エラーが解消されたことを確認。
  • [x] Elasticsearch v9 への接続および検索ができることを確認。

Page 1 of 289

Powered by WordPress & Theme by Anders Norén